《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > EDR市場(chǎng)迎來大爆發(fā)!美國(guó)政府宣布將全面部署EDR

EDR市場(chǎng)迎來大爆發(fā)!美國(guó)政府宣布將全面部署EDR

2021-10-20
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: EDR

  全力推動(dòng)建設(shè)聯(lián)邦政府EDR安全平臺(tái),提高美國(guó)政府網(wǎng)絡(luò)安全漏洞和威脅的可見性與檢測(cè),將網(wǎng)絡(luò)防御從被動(dòng)姿態(tài)轉(zhuǎn)向主動(dòng)姿態(tài)。

  2021年10月8日,美國(guó)白宮管理與預(yù)算辦公室(OMB)發(fā)布備忘錄(M-22-01),通過部署端點(diǎn)檢測(cè)與響應(yīng)(EDR)改進(jìn)聯(lián)邦政府系統(tǒng)的網(wǎng)絡(luò)安全漏洞和事件檢測(cè)。

  在遭受SolarWinds等事件后,美國(guó)總統(tǒng)拜登發(fā)布第14028號(hào)行政令,要求聯(lián)邦機(jī)構(gòu)部署EDR解決方案,支撐主動(dòng)檢測(cè)聯(lián)邦政府基礎(chǔ)設(shè)施內(nèi)的網(wǎng)絡(luò)安全事件,并進(jìn)行網(wǎng)絡(luò)狩獵、遏制、補(bǔ)救以及事件響應(yīng)。根據(jù)該要求,管理與預(yù)算辦公室發(fā)布了M-22-01備忘錄。

  本備忘錄將為各聯(lián)邦機(jī)構(gòu)提供指引,加快推動(dòng)部署EDR解決方案。具體而言,將通過集體努力實(shí)現(xiàn)第14028號(hào)行政令提到的三大目標(biāo):

  提高機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)上網(wǎng)絡(luò)安全事件的早期檢測(cè)、響應(yīng)和補(bǔ)救能力;

  實(shí)現(xiàn)機(jī)構(gòu)內(nèi)部跨部門/局/子機(jī)構(gòu)的企業(yè)級(jí)可見性;

  通過CISA部署的集中式EDR實(shí)現(xiàn)整個(gè)聯(lián)邦政府信息系統(tǒng)的主機(jī)級(jí)可見性、歸因和響應(yīng)。

  管理與預(yù)算辦公室認(rèn)為,EDR將端點(diǎn)數(shù)據(jù)實(shí)時(shí)連續(xù)監(jiān)控和收集、基于規(guī)則的自動(dòng)響應(yīng)與分析能力相結(jié)合,相比傳統(tǒng)解決方案,在應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅上提供了更高的可見性,并是過渡到零信任體系的重要組成部分。

  管理與預(yù)算辦公室要求,在90天內(nèi),聯(lián)邦機(jī)構(gòu)必須向CISA提供已部署EDR的訪問權(quán),或商議確定未來的方案。當(dāng)聯(lián)邦機(jī)構(gòu)處于部署和完善EDR解決方案階段時(shí),需要在120天內(nèi)與CISA商議分析,確定現(xiàn)有EDR部署的差距,評(píng)估當(dāng)前能力狀況并進(jìn)行改進(jìn),確保最終與CISA技術(shù)參考架構(gòu)一致,能從最廣泛的終端收集到必要數(shù)據(jù)。

  相應(yīng)的在監(jiān)管側(cè),管理與預(yù)算辦公室也對(duì)CISA提出了要求。在90天內(nèi),CISA需要制定一個(gè)持續(xù)性能監(jiān)測(cè)流程,幫助各聯(lián)邦機(jī)構(gòu)確保EDR的部署和運(yùn)行能夠檢測(cè)和應(yīng)對(duì)常見威脅;CISA需要向管理與預(yù)算辦公室提交進(jìn)一步加快推動(dòng)全體聯(lián)邦政府EDR部署工作的建議;CISA需要發(fā)布EDR技術(shù)參考架構(gòu)和成熟度模型。在180天內(nèi),CISA需要與聯(lián)邦CIO委員會(huì)協(xié)調(diào),制定EDR解決方案部署最佳實(shí)踐手冊(cè)。

  按照備忘錄要求,最終各聯(lián)邦機(jī)構(gòu)將部署符合CISA技術(shù)參考架構(gòu)的EDR解決方案,為EDR提供適當(dāng)?shù)慕?jīng)費(fèi)和人員支持,并向CISA提供訪問權(quán),實(shí)現(xiàn)主動(dòng)威脅狩獵能力與對(duì)高級(jí)威脅的協(xié)調(diào)響應(yīng)。

  集中式EDR與EINSTEIN、CDM的關(guān)系

  這份備忘錄分為兩部分,一部分是各聯(lián)邦機(jī)構(gòu)部署和完善符合要求的EDR解決方案,另一部分則是CISA部署集中式EDR,通過收集各聯(lián)邦機(jī)構(gòu)EDR的數(shù)據(jù),從而實(shí)現(xiàn)聯(lián)邦級(jí)別的主機(jī)級(jí)可見性、歸因和響應(yīng)。

  從上文描述來看,備忘錄中提到由CISA部署的集中式EDR,和CISA目前正在運(yùn)營(yíng)的愛因斯坦(EINSTEIN)項(xiàng)目、連續(xù)診斷與緩解(CDM)項(xiàng)目似乎功能類似,都是針對(duì)聯(lián)邦機(jī)構(gòu)收集安全數(shù)據(jù),提供態(tài)勢(shì)感知、分析處置等防護(hù)能力。

  其實(shí)不然,集中式EDR與愛因斯坦、連續(xù)診斷與緩解項(xiàng)目互為補(bǔ)充。愛因斯坦、連續(xù)診斷與緩解是傳統(tǒng)的被動(dòng)防御產(chǎn)品,只能應(yīng)付已知安全威脅(比如安全廠商更新了攔截規(guī)則),難以應(yīng)付從未披露過/高隱蔽性的攻擊事件。而集中式EDR通過收集全量終端安全數(shù)據(jù),提供了更高級(jí)別的可見性,令分析師更有機(jī)會(huì)發(fā)現(xiàn)高級(jí)威脅攻擊。

  具體來說,愛因斯坦項(xiàng)目在網(wǎng)絡(luò)層攔截已知惡意攻擊(不太兼容云環(huán)境);連續(xù)診斷與緩解項(xiàng)目是被動(dòng)防御體系,提供資產(chǎn)管理、身份和訪問管理、網(wǎng)絡(luò)流量管理、敏感數(shù)據(jù)保護(hù)四個(gè)方面的防護(hù)能力;集中式EDR在終端層識(shí)別和攔截攻擊,補(bǔ)全了網(wǎng)絡(luò)內(nèi)部的視角。

  解讀:

  美國(guó)聯(lián)邦政府網(wǎng)絡(luò)防御將邁入主動(dòng)姿態(tài)

  目前,備忘錄只是提出了聯(lián)邦機(jī)構(gòu)全面部署EDR解決方案的階段性目標(biāo),但部署并不能有效應(yīng)對(duì)高級(jí)威脅,還需要高水平的安全專家持續(xù)進(jìn)行運(yùn)營(yíng)。

  從CDM項(xiàng)目的經(jīng)驗(yàn)來看,這可能還是一場(chǎng)長(zhǎng)期攻堅(jiān)戰(zhàn)。2020年8月,美國(guó)政府問責(zé)局(GAO)對(duì)聯(lián)邦機(jī)構(gòu)CDM項(xiàng)目實(shí)踐進(jìn)行審查,發(fā)現(xiàn)竟沒有一家聯(lián)邦機(jī)構(gòu)滿足CDM運(yùn)行的關(guān)鍵要求,多方面的缺陷導(dǎo)致收集數(shù)據(jù)質(zhì)量變差,使得機(jī)構(gòu)的CDM控制面板和網(wǎng)絡(luò)安全評(píng)分的作用大幅降低。

  盡管如此,這也是一次安全能力上的躍遷。通過全面部署EDR,將大幅提高美國(guó)政府網(wǎng)絡(luò)安全漏洞和威脅的可見性與檢測(cè),將網(wǎng)絡(luò)防御從被動(dòng)姿態(tài)轉(zhuǎn)向主動(dòng)姿態(tài)。

  參考資料

  OMB M-22-01

  https://www.whitehouse.gov/wp-content/uploads/2021/10/M-22-01.pdf

  美國(guó)總統(tǒng)拜登《關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政令》全文翻譯

  https://www.secrss.com/articles/31267

  如何提高SOC事件響應(yīng)能力?美國(guó)白宮提出明確要求

  https://www.secrss.com/articles/34075

  美國(guó)聯(lián)邦政府態(tài)勢(shì)感知項(xiàng)目 (CDM) 實(shí)踐的不足與改進(jìn)

  

https://www.secrss.com/articles/25538



電子技術(shù)圖片.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。